カスタマー マネージド キー (CMK) は、独自の Azure Key Vault または Azure Managed HSM インスタンスでキー暗号化キー (KEK) を所有および管理するキー管理制御モデルです。 Azure サービスでは、エンベロープ暗号化を使用して、KEK によりデータ暗号化キーを包んだり解除したりします。 HSM で保護されたキーの場合は、Azure Key Vault Premium レベルまたは Azure Managed HSM を使用します。
次のサービスでは、カスタマー マネージド キーを使用したサーバー側の暗号化がサポートされています。 実装の詳細については、サービス固有のドキュメントまたはサービスの Microsoft クラウド セキュリティ ベンチマーク: セキュリティ ベースライン (セクション DP-5) を参照してください。
AI と機械学習
Analytics
| 製品、機能、またはサービス | Key Vault | マネージド HSM | ドキュメント |
|---|---|---|---|
| Azure Data Explorer | はい | ||
| Azureデータファクトリー | はい | はい | |
| Azure Data Lake Store | はい (RSA 2048 ビット) | ||
| Azure エネルギー担当データ マネージャー | はい | はい | データ セキュリティと暗号化を管理する |
| Azure Databricks | はい | はい | マネージド サービス用のカスタマー マネージド キー |
| Azure HDInsight | はい | Azure HDInsightで保存されているデータの二重暗号化 | |
| Azure Monitor Application Insights | はい | Azure Monitor におけるカスタマー管理キー | |
| Azure Monitor Log Analytics | はい | はい | Azure Monitor におけるカスタマー管理キー |
| Azure Stream Analytics | あり* | はい | |
| Azure Synapse Analytics | はい (RSA 3072 ビット) | はい | カスタマー マネージド キーを使用して保存時の暗号化を構成する |
| Microsoft Fabric | はい | はい | 顧客管理キー (CMK) 暗号化と Microsoft Fabric |
| Power BI Embedded | はい |
Containers
| 製品、機能、またはサービス | Key Vault | マネージド HSM | ドキュメント |
|---|---|---|---|
| Azure Kubernetes サービス | はい | はい | AKS クラスター ノードでホスト暗号化を有効にする |
| Azure Red Hat OpenShift | はい | Azure Red Hat OpenShift を使用した独自のキー (BYOK) の持ち込み | |
| コンテナー インスタンス | はい | カスタマー マネージド キーを使用してデータを暗号化する | |
| コンテナー レジストリ | はい | カスタマー マネージド キーを使用してコンテナー イメージを暗号化する |
Compute
| 製品、機能、またはサービス | Key Vault | マネージド HSM | ドキュメント |
|---|---|---|---|
| App Service | あり* | はい | App Service 用にカスタマー マネージド キーを構成する |
| Azure Functions | あり* | はい | |
| Azure HPC Cache | はい | カスタマー管理キーをHPC Cacheで使用する | |
| Azure Load Testing | はい | ||
| Azure マネージド アプリケーション | あり* | はい | Azure マネージド アプリケーションの概要 |
| Azure Portal | あり* | はい | Azure ポータルのセキュリティ |
| Azure VMware Solution | はい | はい | |
| バッチ | はい | Batch アカウントでカスタマー マネージド キーを使用する | |
| SAP HANA | はい | ||
| Site Recovery | はい | カスタマー マネージド キーを使用してレプリケーションを有効にする | |
| 仮想マシンスケールセット | はい | はい | マネージド ディスク暗号化オプションの概要 |
| 仮想マシン | はい | はい | マネージド ディスク暗号化オプションの概要 |
データベース
ハイブリッド + マルチクラウド
| 製品、機能、またはサービス | Key Vault | マネージド HSM | ドキュメント |
|---|---|---|---|
| Azure Stack Edge | はい |
統合
| 製品、機能、またはサービス | Key Vault | マネージド HSM | ドキュメント |
|---|---|---|---|
| Azure Fluid Relay | はい | はい | Azure Fluid Relay のカスタマー管理キー |
| Azure Health Data Services | はい | はい | <c0>Azure Health Data Services DICOMのカスタマー マネージド キーを構成します</c0>、<c1>Azure Health Data Services FHIRのカスタマー マネージド キーを構成します</c1> |
| Event Hubs | はい | はい | 暗号化向けにカスタマー マネージド キーを構成する |
| ロジック アプリ | はい | ||
| サービスバス | はい | はい | 暗号化向けにカスタマー マネージド キーを構成する |
IoT サービス
| 製品、機能、またはサービス | Key Vault | マネージド HSM | ドキュメント |
|---|---|---|---|
| IoT Hubのデバイス更新 | はい | はい | IoT Hub の Device Update のデータ暗号化 |
| IoT Hub デバイスプロビジョニング | はい |
管理とガバナンス
| 製品、機能、またはサービス | Key Vault | マネージド HSM | ドキュメント |
|---|---|---|---|
| アプリの構成 | はい | データを暗号化するためにカスタマー マネージド キーを使用する | |
| オートメーション | はい | 自動化資産の暗号化 | |
| Azure Chaos Studio | はい | ||
| Azure Migrate | はい | ||
| Azure Monitor | はい | はい | Azure Monitor におけるカスタマー管理キー |
メディア
| 製品、機能、またはサービス | Key Vault | マネージド HSM | ドキュメント |
|---|---|---|---|
| Azure Communication Services | はい | Azure Communication Servicesでのデータ暗号化 | |
| Media Services | はい |
セキュリティ
| 製品、機能、またはサービス | Key Vault | マネージド HSM | ドキュメント |
|---|---|---|---|
| Azure Information Protection | はい | はい | Azure Rights Management 暗号化キーは管理され、セキュリティで保護されていますか? |
| Microsoft Defender for Cloud | はい | はい | Azure Monitor におけるカスタマー管理キー |
| Microsoft Defender for IoT | はい | ||
| Microsoft Sentinel | はい | はい | Microsoft Sentinel の保存データの暗号化 |
Storage
その他
| 製品、機能、またはサービス | Key Vault | マネージド HSM | ドキュメント |
|---|---|---|---|
| ユニバーサル プリント | はい | はい | Universal Print でのデータ暗号化 |
注意事項
* このサービスでは、ユーザーが管理するキーを使用したサーバー側の暗号化を既にサポートしている独自のKey Vault、ストレージ アカウント、またはその他のデータ永続化サービスにデータを格納できます。
** ページ ファイルやスワップ ファイルなどのディスクに一時的に格納される一時的なデータは、Microsoft キー (すべての層) またはカスタマー マネージド キー (Enterprise および Enterprise Flash レベルを使用) で暗号化されます。 詳細については、「
関連するコンテンツ
Microsoft Azure Azure - 二重暗号化